北朝鮮の工作員によって作成された30以上の偽IDがデバイス侵害を通じて暴露される

セキュリティ研究者のZachXBTは、重要な発見を公開しました。北朝鮮のIT関係者から漏洩した機密デバイスデータにより、複数のプラットフォームで30以上の偽名を用いた組織的な運営が明らかになりました。アクセスされた情報には、Chromeブラウザのプロフィール、Googleドライブのバックアップ、システムのスクリーンショットなどが含まれ、詐欺を通じて開発者の役割を確保する調整されたチームの姿が浮かび上がりました。

操作の規模

この範囲は単なるアカウント作成を超えていました。これらの関係者は、政府発行の身分証明書を用いてUpworkやLinkedInの資格情報を体系的に取得し、その後、AnyDeskリモートデスクトップソフトウェアを通じて活動を管理していました。特に、ウォレットアドレス0x78e1は、2025年6月にFavrrプラットフォームを標的とした68万ドルの盗難と直接関連していることが判明し、ソーシャルエンジニアリングのインフラと金融窃盗との明確なつながりを示しました。

明らかになったインフラと手法

アクセスされたシステムから、チームの活動の組織化方法が明らかになりました。彼らはGoogleのツール群を活用してタスクのスケジューリングを行いながら、同時にSSNやAIサービスのサブスクリプション、VPNアクセスを違法なルートで購入していました。ブラウザの履歴ログは、特に韓国語への翻訳にGoogle Translateを広範に利用していたことを示しており、地理位置情報は多くの接続がロシアのIPアドレスを経由していることを追跡しており、一般的な隠蔽手法の一つです。

明らかになったシステムの脆弱性

技術的な戦術を超えて、この侵害は組織の弱点も浮き彫りにしました。リクルーターやプラットフォームのモデレーターは、複数の身分のバリエーションにおいて明らかなリスクを検知できませんでした。クロスプラットフォームでの情報共有や身分確認の調整不足により、同じ個人がフリーランスネットワーク上で並行したペルソナを維持できるギャップが生まれました。

この事件は、ソーシャルエンジニアリングとインフラの隠蔽を組み合わせることが、制度的防御が孤立している場合に依然として効果的な攻撃手法であることを示しています。